CVE-2023-21492 i Samsung-enheder, der kører Android 11, 12, 13

USA. Cybersecurity and Infrastructure Security Agency (CISA) har udstedt en advarsel om aktiv udnyttelse af sårbarheden i en Samsung-enhed af medium sværhedsgrad, sporet som CVE-2023-21492 og scoring 4.4 på CVSS. Problemet påvirker Samsung-enheder, der kører Android-versioner 11, 12, og 13.

Hvad er CVE-2023-21492?

Det siger den officielle tekniske beskrivelse “Kernelpointere udskrives i logfilen før SMR May-2023 Release 1” således at en privilegeret lokal angriber kan omgå ASLR. ASLR er en forebyggende foranstaltning, der slører eksekverbare hukommelsesplaceringer mod hukommelseskorruption og kørsel af kode fejl.

Ifølge Samsung, en angriber med privilegier kan starte en udnyttelse uden om randomiseringen af adresserummets layout (ASLR) sikkerhedsbeskyttelse i nævnte Android-versioner.

Tilsyneladende, sårbarheden blev privat opdaget i januar 17, 2023, og udnytte for det eksisterede i naturen siden da. Der er ingen yderligere detaljer om dets misbrug, endnu tidligere optegnelser viser, at ondsindet software er blevet distribueret via Samsung-enheder i fortiden.

Ifølge Google Project Zero-undersøgelsen, i august 2020, et eksternt nul-klik MMS-angreb blev udført, succesfuld kodeeksekvering via to bufferoverskrivningssårbarheder i Quram qmg-biblioteket (SVE-2020-16747 og SVE-2020-17675).

CISA har tilføjet fejlen til sine kendte udnyttede sårbarheder (KEV) katalog, sammen med to Cisco IOS-fejl (CVE-2004-1464 og CVE-2016-6415), og beordrer Federal Civilian Executive Branch (FCEB) agenturer til at lappe det inden juni 9, 2023. Agenturet har også tilføjet syv fejl til KEV-kataloget, den ældste er en 13 år gammel Linux-sårbarhed (CVE-2010-3904) fører til uprivilegeret operationsoptrapning.

Google Project Zero-eksperter bekræftede, at Samsungs sikkerhedsfejl blev opdaget af Clement Lecigne fra Google Threat Analysis Group (TAG). Dette understøtter indikationerne af dets udnyttelse til en spyware-kampagne.